私の目標は、緊急時にキーファイルを含むメディアを簡単に破棄し、システムを起動できないようにすることです。潜在的なアドバイザーがシステムの正しいパスワードを知っていても。このキーファイルを安全な場所に保存し、重大な状況が発生した後に復元します。コマンド# cryptsetup luksAddKey /dev/<device>
を使用してキーファイルを追加しようとしましたが、希望どおりの結果が得られませんでした。 cryptsetupには、キーファイルとパスワードの両方が必要です。システムが提供されている場合、システムを起動するためではありません。 cryptsetupでこれを実現するにはどうすればよいですか?
LUKSは、暗号化解除にキーファイルとパスフレーズの両方の要求をサポートしていません。構成されたキースロットのいずれかに十分な資格情報を提供する限り、暗号化されたボリュームを復号化できます。それはあなたが欲しいものを手に入れるのが不可能だと言っているのではありません。 デタッチされたLUKSヘッダー (暗号化されたマスターキーと他のキー情報が実際の暗号化データと同じパーティションに保持されない場合)を使用してを扱うことができますキーファイルとして。ハードドライブの取り外したヘッダーは、USBフラッシュドライブに保存できます。ハードドライブの暗号化を解除するには、正しいパスフレーズとヘッダー付きのフラッシュドライブを知っている必要があります。フラッシュドライブとヘッダーを破壊すると、ハードドライブが読めなくなります。